工業(yè)控制系統(tǒng)信息安全檢查評估

◆曹國江 唐厚學 唐 彭 胡金宇

工業(yè)控制系統(tǒng)信息安全檢查評估

◆曹國江 唐厚學 唐 彭 胡金宇

(中國電子科技網(wǎng)絡信息安全有限公司 四川 610041）

工業(yè)化與信息化高度融合，工控系統(tǒng)開始不斷遭受外來攻擊，國內(nèi)外越來越關注工控行業(yè)的信息安全，陸續(xù)發(fā)布相關政策與標準，以此來指導工控行業(yè)的信息安全防護工作。與此同時，工控安全檢查與評估順勢成為工控信息安全防護工作的一個重要部分，通過安全檢查與評估來預判工控系統(tǒng)存在的風險，從而最大程度上降低工控安全帶來的損失。

脆弱性；安全檢查；風險

0 引言

工業(yè)控制系統(tǒng)，簡稱ICS，主要包括分布式控制系統(tǒng)（DCS)、監(jiān)控和數(shù)據(jù)采集控制系統(tǒng)（SCADA）及可編程邏輯控制器(PLC)等控制系統(tǒng)裝置[1]。現(xiàn)在，ICS遍及于石化、電力、能源、冶金、水處理等行業(yè)。

日前，兩化融合戰(zhàn)略的不斷推進，加之物聯(lián)網(wǎng)等新興技術領域的拓展，工控系統(tǒng)安全隨之受到企業(yè)的關注。在信息安全攻防戰(zhàn)的陰影下，工控系統(tǒng)作為能源、電力、石化制造等國家命脈行業(yè)的關鍵基礎設施，其運行環(huán)境勢必會面臨著持續(xù)攀升的安全風險。目前，對我國影響廣泛的工業(yè)控制系統(tǒng)軟硬件漏洞日益增多，從國家信息安全漏洞共享平臺數(shù)據(jù)可以看出[2]，較之2010年，近年安全漏洞增長幅度約10倍，包括施耐德、西門子、三維力控和亞控等國內(nèi)外知名工控系統(tǒng)制造商的軟硬件產(chǎn)品。工控漏洞的不斷涌現(xiàn)，勢必會對工控系統(tǒng)增加風險，從而影響正常的工控生產(chǎn)秩序，甚至危及人員的健康和財產(chǎn)安全。

1 政策法規(guī)

1.1 國外政策法規(guī)

為應對關鍵信息基礎設施面臨的威脅和挑戰(zhàn)，各國紛紛在戰(zhàn)略布局、政策法規(guī)、標準規(guī)范和重點技術創(chuàng)新牽引等方面開展了一系列舉措，以推動關鍵信息基礎設施的整體安全保障能力。

2003年12月，美國發(fā)布了《關鍵基礎設施標識、優(yōu)先級和保護》[3]；2006年6月，美國國土安全部發(fā)布了《國家基礎設施保護計劃》，該計劃建有全球相對領先的體系及標準；2016年，美國國土安全部發(fā)布了關于物聯(lián)網(wǎng)安全的準則，即《保障物聯(lián)網(wǎng)安全的戰(zhàn)略原則》。

2013年，法國發(fā)布《國防和國家安全白皮書》，重點關注關鍵信息基礎設施控制系統(tǒng)安全；2014年，歐洲網(wǎng)絡與信息安全局（ENISA）發(fā)布《國家網(wǎng)絡安全戰(zhàn)略評估框架》，目的是加強歐洲各國網(wǎng)絡安全防范能力，保護關鍵信息基礎設施；歐盟2016年發(fā)布《歐盟網(wǎng)絡與信息系統(tǒng)安全指令》。

2013年，日本發(fā)布《網(wǎng)絡安全戰(zhàn)略》，提出要建立關鍵信息基礎設施保護的評估認知機制和信息共享機制；日本建有關鍵信息基礎設施攻防實景模擬基地，并進行實戰(zhàn)演習。

1.2 國內(nèi)政策法規(guī)

2016年4月19日，習近平主席發(fā)表重要講話，“沒有網(wǎng)絡安全，就沒有國家安全”[4]。

2016年10月17日，工信部發(fā)布《工業(yè)控制系統(tǒng)信息安全防護指南》，提出十一大項安全防護指導要求，為工控企業(yè)開展工控安全防護工作提供了有力的指導依據(jù)。

2016年11月7日，第十二屆全國人大常務委員會第二十四次會議順利通過了《中華人民共和國網(wǎng)絡安全法》，自2017年6月1日起施行。

2017年7月31日，工信部制定了一項關于工控評估的管理辦法，即《工業(yè)控制系統(tǒng)信息安全防護能力評估工作管理辦法》，以此來指導工控企業(yè)開展工控系統(tǒng)信息安全防護工作。

2 檢查方法

鑒于工業(yè)控制現(xiàn)場環(huán)境的獨有特性，工控安全檢查評估的方法主要包括文檔審查、人員訪談、核查驗證、現(xiàn)場查看、安全監(jiān)測等。

2.1 文檔審查

主要包括自查工作開展、安全問題整改、被檢工控系統(tǒng)運行情況、安全防護措施及策略信息等相關資料。

2.2 人員訪談

經(jīng)與企業(yè)相關員工進行交談和問詢，了解被檢工控系統(tǒng)技術和管理方面的基本信息、近一個月至半年的運行狀況，并對一些需要抽檢的相關內(nèi)容進行確認。

2.3 核查驗證

有些信息還需要經(jīng)過上機確認并加以核實，例如，通過人員訪談和文檔審核中獲得的信息，需要進行上機核查驗證。

2.4 現(xiàn)場查看

對被檢工控系統(tǒng)運行環(huán)境、運維工作環(huán)境等進行現(xiàn)場查看。

2.5 安全檢測

根據(jù)實際情況，檢查人員按照相關要求對被檢工控系統(tǒng)進行檢測。包括：工控漏洞掃描于滲透測試、配置策略核查、記錄并分析運行日志等。

3 檢查流程

根據(jù)工業(yè)現(xiàn)場的情況，結(jié)合工業(yè)現(xiàn)場的特性，一般來說檢查流程主要包擴方案制定、準備、現(xiàn)場核查和總結(jié)分析四個階段，具體如圖1所示。

圖1 工控安全檢查流程

4 安全評估內(nèi)容

相較于安全檢查，安全評估是對檢查過程中系統(tǒng)暴漏的風險進行量化分析，主要包括資產(chǎn)評估、脆弱性評估、威脅評估及已有安全措施確認。

4.1 資產(chǎn)評估

評估的根本目標就是為了保護工控資產(chǎn)，避免遭受威脅攻擊。為了開展好評估工作，需要對資產(chǎn)進行合理分類，并對資產(chǎn)的管理情況進行詳細掌握。

階段一：確定好工控檢查的項目范圍，然后對資產(chǎn)進行識別并加以分類，包括人員資料以及軟硬件資產(chǎn)等。

階段二：進行資產(chǎn)識別、分類并賦值。

4.2 脆弱性評估

脆弱性是系統(tǒng)資產(chǎn)所暴露的一個或多個弱點的特性，脆弱性評估是通過一定方法識別系統(tǒng)在技術與管理上所暴露脆弱性，并對其進行賦值的過程。

技術脆弱性評估主要是通過文檔、訪談或借助人工及工具等方式對工控系統(tǒng)的主機、網(wǎng)絡等技術層次方面進行脆弱性識別并賦值。

管理脆弱性評估主要是借助文檔查閱、管理訪談等方式對人員安全管理、工控安全管理制度、工控安全管理機構(gòu)等進行脆弱性識別并賦值[5]。

4.3 威脅評估

除傳統(tǒng)的信息系統(tǒng)威脅外，工控DCS控制系統(tǒng)的威脅或是來自智能儀表的傳輸數(shù)據(jù)非法篡改、或是來自移動介質(zhì)的病毒對上位機的感染、或是來自網(wǎng)絡中針對控制器通訊協(xié)議的攻擊。

通過威脅分析，找出信息系統(tǒng)或者DCS控制系統(tǒng)目前存在的潛在風險因素，并進行統(tǒng)計，賦值，以便于列出風險。

4.4 已有安全措施確認

在對工控系統(tǒng)脆弱性識別的同時，也應該對已采取的安全措施進行相關確認。安全措施確認的核心主要在于安全評估是否有效，也就是能否確切地降低了工控系統(tǒng)的內(nèi)在脆弱性，防御了外來威脅。

為了防止不必要的工作和成本，應該繼續(xù)保持合理有效的已有安全措施，避免重復實施安全措施[6]。當確認已有安全措施有不適當?shù)那闆r，應對其核查驗證，確定是否取消、實施修正，或采取更合適的安全措施進行替代[7]。

5 工控系統(tǒng)風險綜合分析

風險是一種潛在可能性或概率，是指某個威脅利用系統(tǒng)的脆弱性，引發(fā)某項資產(chǎn)或一組資產(chǎn)的損失，進而直接地或間接地給工控企業(yè)或機構(gòu)帶來一定的損失。因此，風險和系統(tǒng)的資產(chǎn)本身的價值、資產(chǎn)暴漏的脆弱性、外在威脅等直接相關[8]。

資產(chǎn)評估、威脅評估及脆弱性評估是計算風險的準備條件，參照風險計算原理圖，計算出外在威脅利用內(nèi)在脆弱性導致安全事件發(fā)生的概率，綜合分析資產(chǎn)價值及脆弱性的嚴重程度判斷一旦發(fā)生安全事件將帶來的損失，從而計算出風險值，風險計算原理如圖2所示[9]。

圖2 風險計算原理

6 結(jié)語

近年來，隨著兩化融合的推進，工業(yè)控制系統(tǒng)也開始互聯(lián)網(wǎng)化，給工作帶來方便的同時，也隨之帶來一些安全風險和隱患。因而，對工業(yè)控制系統(tǒng)進行相關檢查及評估顯得尤為重要，本文結(jié)合國內(nèi)外的相關政策標準，介紹了工業(yè)控制系統(tǒng)的常見檢查方法、檢查流程以及安全評估內(nèi)容，希望對工控系統(tǒng)安全的發(fā)展有一定的推動作用。

[1]馮偉.我國工業(yè)控制系統(tǒng)面臨的信息安全挑戰(zhàn)及措施建議[J].信息安全與技術，2013.

[2]魏曉雷,劉龍濤.電力行業(yè)工業(yè)控制系統(tǒng)信息安全風險評估研究[J].信息安全研究，2018.

[3]蘇曉娟,鐘建強,毛鈞慶.美國加強關鍵基礎設施保障的主要舉措探析[J].信息安全與通信保密，2014.

[4]李欲曉,謝永江.世界各國網(wǎng)絡安全戰(zhàn)略分析與啟示[J]. 網(wǎng)絡與信息安全學報，2016.

[5]胡士菱.如何做好信息系統(tǒng)安全風險脆弱性評估[J].信息系統(tǒng)工程，2009.

[6]張海霞.基于CVE的網(wǎng)絡安全評估系統(tǒng)[D].哈爾濱理工大學，2008.

[7]侯紅霞,劉建華,范九倫.電信網(wǎng)風險評估方法研究[J].網(wǎng)絡安全技術與應用，2007.

[8]李增鵬,馬春光,李迎濤.基于層次分析涉密信息系統(tǒng)風險評估[J].信息網(wǎng)絡安全，2014.

[9]陳國凱.無線局域網(wǎng)環(huán)境下移動智能終端安全評估研究[D].南京師范大學，2015.